Números de telemóvel chegam para aceder a contas de utilizadores em alguns portais de operadores de comunicações móveis, segundo um investigador romeno.
Cibercriminosos podem passar por legítimos utilizadores nos portais de muitos operadores de telefonia móvel, onde estes vendem conteúdo e serviços aos seus clientes. Na origem está uma falha de segurança descoberta por um investigador independente romeno, Bogdan Alecu.
Um hacker só precisa de saber o número de telefone do cliente, a fim de explorar as vulnerabilidades e comprar jogos, “ringtones” ou subscrever serviços através da mesma conta usando portais WAP (de Wireless Application Protocol), explica Alecu. O investigador afirma ter descoberto as vulnerabilidades de autenticação em sites de muitos operadores de telefonia móvel no mês de Janeiro. E diz ter testado, os portais WAP e Web de 20 operadores da Roménia, Alemanha, Áustria, Itália, França, Polônia, Reino Unido, Brasil e Holanda. Cerca de 15 foram considerados vulneráveis, de alguma forma, explicou.
A vulnerabilidade decorre do facto de muitos desses sites autenticarem os clientes automaticamente com base em cabeçalhos HTTP especiais, enviados por browsers móveis. Outras vezes são adicionados pelos servidores do operador quando a ligação de dados do telemóvel é usada.
Alecu descobriu que podia ter acesso a uma conta online de outro assinante, forçando o seu browser a enviar os cabeçalhos HTTP contendo o número de cliente – em vez do seu próprio. Ele denomina o ataque como “poluição de cabeçalhos de HTTP”.
Para testar este ataque, o investigador utilizou o Mozilla Firefox, porque este tem extensões capazes de permitir o envio de cabeçalhos alterados. Falsificou também a actividade do agente de utilizador, para aparecer como um browser num dispositivo móvel.
Em alguns casos, para o ataque funcionar, o browser tem de ser configurado de modo a utilizar o servidor proxy do operador móvel – que é do conhecimento público – antes de aceder ao site, explicou. Às vezes, o ataque funcionou usando a ligação de Internet do computador existente.
Mas, noutros casos, o lançamento de um ataque bem sucedido exige a compra de um cartão SIM do operador alvo. O dispositivo é colocado num modem 3G e, dessa forma, liga o computador ao site.
Alguns operadores bloqueiam as tentativas de ligação de endereços IP que não são das suas próprias redes. O que pode ser feito depois de se obter acesso depende do tipo de serviços oferecido pelo operador alvo no seu site, explica Alecu.
A falha de segurança foi revelada discretamente aos operadores em Março e muitos deles já abordaram a questão, revelou. O investigador recusa-se a nomear publicamente qualquer um dos operadores afectados, argumentando não ser sua intenção desacreditá-los.
No entanto, a GSM Association (GSMA) ao ser notificada emitiu um alerta de segurança, garantiu o investigador. Mas, segundo o mesmo, muitos dos operadores contactados não conseguiram resolver o problema.